La mayor plataforma de peticiones del mundo permitió durante años suplantar identidades para respaldar campañas
04 dic 2018 . Actualizado a las 19:34 h.Change.org nació en el 2007 como plataforma de «presión ciudadana» -tal y como la ha definido su actual director en España José Antonio Ritoré-, capaz de cambiar las cosas, capaz de desencadenar el movimiento. Suyas (y de los impulsores de cada petición) son victorias como la de que todos los centros deportivos del País Vasco cuenten con desfibriladores automáticos, que la ley educativa haya cambiado para potenciar bancos de libros de texto, que Diego -11 años, enfermo de cáncer- consiguiese una plaza en la unidad de daño cerebral infantil del Niño Jesús de Madrid o que Mou, solicitante de asilo, originario de Mali pero vecino de Cáceres desde hace diez años, haya conseguido la tarjeta de residencia en España, evitando así su expulsión. 31.370 triunfos en 196 países distintos, casi uno a la hora.
Pero, ¿cómo de reales son las cifras de sus contadores que, a fin de cuentas, son las que consiguen el ruido, los titulares y la movilización? ¿se verifican los apoyos? ¿se pueden duplicar, falsificar o manipular? Malas noticias: Facua ha identificado una brecha en esta herramienta de activismo online y se ha apresurado a comunicársela a la Agencia Española de Protección de Datos para que la evalúe, un fallo en la seguridad de Change.es que durante años habría permitido a sus usuarios suplantar identidades para respaldar y comentar peticiones.
Detalla la asociación de consumidores que con solo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de las peticiones abiertas, independientemente de si esa dirección estaba activa o correspondía o no a tal identidad, Change la daba por válida si anteriormente había sido dada de alta. No se comprobaba si el nombre y apellido firmantes eran o no verdaderos. Y no solo eso: la plataforma revelaba además al usuario datos vinculados a ese email introducido: localidad, profesión y fotografía del perfil.
El problema de seguridad -continúa la denuncia de Facua- también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo (propia o ajena) que no estuviera dada de alta en Change.org sin necesidad de validarla. Considera, por todo eso, que se ha producido una vulneración del reglamento general de protección de datos de la UE y que la empresa debe comunicar el fallo a todos los usuarios que tienen una cuenta en la plataforma.
Change.org confirmó este mismo lunes haber recibido la notificación de Facua informándole de la grieta de seguridad y, a través de un comunicado, puso en valor la necesidad de proteger la seguridad y privacidad de sus usuarios. Reconoció que, «al igual que el resto de grandes plataformas digitales», han sufrido intentos de suplantación de identidad -un número «extremadamente bajo»- y aseguró que, tan pronto como recibió la alerta de la organización de consumidores, se puso en contacto con su equipo de producto con el objetivo de revisar y modificar sus protocolos para iniciar peticiones y publicar firmas y comentarios.
Se compromete la web de peticiones, que reconoce así veladamente su descuido, a continuar probando y afinando las medidas de validación y autentificación, proceso de que, asegura, también ha informado a la Agencia Española de Protección de Datos. «Hemos solicitado su asesoramiento sobre las medidas adicionales que pudieran ser necesarias para garantizar el respeto de los derechos de nuestros usuarios», concluye.